CCN-CERT AL 03/26 Explotación activa de vulnerabilidad en accesos VPN de Check Point

Fecha de publicación: 09/06/2026

Nivel de peligrosidad: CRÍTICO

  • El CCN-CERT recomienda a las organizaciones aplicar de inmediato las actualizaciones de seguridad publicadas por el fabricante, revisar los indicadores de compromiso y desactivar este protocolo siempre que sea posible.

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación por parte de Check Point de una actualización de seguridad para corregir dos vulnerabilidades que afectan a los despliegues de VPN de acceso remoto y móvil. Estas vulnerabilidades sólo afectarían a dispositivos configurados para utilizar el protocolo de intercambio de claves IKEv1, ya obsoleto. La más grave de ellas, la CVE-2026-50751, está siendo explotada activamente y podría permitir a un atacante remoto establecer una sesión VPN sin disponer de una contraseña válida, eludiendo los requisitos de autenticación.

Según Check Point, la actividad observada hasta el momento se ha limitado a unas pocas decenas de organizaciones a escala global (en un caso, la fase de post-explotación ha sido asociada con un afiliado del ransomware Qilin). El fabricante precisa además que, aunque esta vulnerabilidad permite abrir una sesión VPN sin credenciales válidas, se requiere actividad adicional tras la autenticación para acceder a recursos internos o escalar privilegios.

Recursos afectados 

CVE Producto Versiones afectadas  Actualización

CVE-2026-50751

Mobile Access
SSL VPN,
Remote Access VPN
Spark Firewall

R80.20.X (EOS)
R80.40 (EOS)
R81 (EOS)
R81.10 (EOS)
R81.10.X
R81.20, R82
R82.00.X, R82.10

Sk185033

CVE-2026-50752

Security Gateways
Spark Firewall

R80.20.X (EOS)
R80.40 (EOS)
R81 (EOS)
R81.10 (EOS)
R81.10.X
R81.20, R82
R82.00.X, R82.10

Sk185035

Recomendaciones

El CCN-CERT recomienda a todas las organizaciones potencialmente afectadas adoptar de forma inmediata las medidas indicadas por el fabricante:

  • Aplicar urgentemente la actualización facilitada por Check Point.
  • Comprobar si el acceso remoto VPN o Mobile Access utiliza el protocolo IKEv1 y priorizar su sustitución por IKEv2 u otra configuración soportada y más segura.
  • Deshabilitar la aceptación de clientes heredados y exigir certificado de máquina en las conexiones, cuando la arquitectura lo permita.
  • Revisar los indicadores de compromiso publicados por Check Point y analizar los registros de acceso VPN en busca de conexiones anómalas, sesiones no autorizadas o actividad posterior a la autenticación.
  • Si no fuera posible aplicar la actualización de inmediato, implantar temporalmente las medidas alternativas de mitigación indicadas por el fabricante mediante ajustes de configuración del acceso remoto y limitar la exposición de los servicios afectados a redes o direcciones IP de confianza hasta completar la corrección.
  • Si se detectan indicios de compromiso, activar los procedimientos de respuesta a incidentes, conservar evidencias y realizar una revisión forense del sistema.

Referencias

Checkpoint:

NIST

CISA